Bedrijf

De AVG/GDPR komt eraan, moet ik iets aan mijn website of webapplicatie aanpassen?

Geplaatst door Wouter van Groesen op 24 april 2018

Vanaf 25 mei 2018 treedt de nieuwe AVG (Algemene Verordening Gegevensbescherming) of GDPR (General Data Protection Regulation) in werking. Vanaf dat moment gelden nieuwe richtlijnen voor iedereen die persoonsgegevens verwerkt. Maar wat betekent dat nou precies voor mijn website of webapplicatie?


Wat zijn persoonsgegevens?

Persoonsgegevens die te herleiden zijn tot een persoon, vallen veel sneller onder de nieuwe regelgeving dan onder de huidige wetgeving. Naast gewone persoonsgegevens zoals NAW-gegevens, vallen bijvoorbeeld ook IP-adressen, locaties en cookies onder de bescherming van persoonsgegevens.

Dit betekent dat er op iedere website sneller persoonsgegevens verwerkt worden dan je zou verwachten. Het verwerken van persoonsgegevens is volgens de AVG bijna iedere handeling die je doet. Vult iemand op jouw website een contactformulier in en vult hij daar zijn naam in? Dan geldt dat ook als verwerking.

Maar het verwerken van persoonsgegevens gebeurt ook erg veel offline: ontvang je van iemand een visitekaartje met zijn naam erop, dan ben je in feite al persoonsgegevens aan het verwerken. 


Wat zijn de verplichtingen voor het verwerken van persoonsgegevens?

  1. Het verwerken moet rechtmatig zijn. De persoon moet bijvoorbeeld toestemming hebben gegeven voordat er gegevens verwerkt worden, of de persoonsgegevens moeten noodzakelijk zijn voor de uitvoering van een overeenkomst.
  2. Daarnaast moet duidelijk worden gemaakt voor welk doel de gegevens gebruikt worden. Je mag de persoonsgegevens dus alleen gebruiken voor het van tevoren opgegeven doel.
  3. Het verwerken van persoonsgegevens moet geminimaliseerd worden en beperkt worden tot het noodzakelijke. Heb ik bepaalde persoonsgegevens nodig?
  4. Zijn de persoonsgegevens nog juist en actueel? Mocht je niet zeker weten dat gegevens juist en actueel zijn, dan ben je verplicht om de gegevens te updaten of te verwijderen.
  5. Je moet de opslag van persoonsgegevens beperken. Dat wil zeggen dat je aan moet geven wat de bewaartermijn is voor de gegevens die je verwerkt.
  6. De toegang tot persoonsgegevens moet beveiligd zijn en de persoonsgegevens mogen alleen ingezien worden door personen die dat noodzakelijk moeten hebben.

Wat betekent dit voor mijn organisatie?

De AVG heeft duidelijk impact op de gehele organisatie en niet alleen op de website. Een basis stappenplan is het volgende:

  1. Allereerst moet er een ‘nulmeting’ gedaan worden. Welke persoonsgegevens verwerk ik nu in mijn organisatie, website of webapplicatie en in software die ik gebruik?
  2. Loop alle bedrijfsprocessen na op de stroom van persoonsgegevens
  3. Controleer alle overeenkomsten en verklaringen: privacy statement, algemene voorwaarden, cookiemelding, software overeenkomsten en verwerkersovereenkomsten. Deze documenten voldoen bijna nooit aan de nieuwe regelgeving!
  4. Stel een intern beleid op en informeer je medewerkers.
  5. Zorg voor een administratie van de verwerking van persoonsgegevens door je organisatie.
  6. Controleer of je een ‘Data Protection Officer’ in je organisatie aan moet stellen.

En wat betekent dit voor mijn website of webapplicatie?

Voor je website of webapplicatie betekent dit dat er ook kritisch gekeken moet worden naar de verwerking van persoonsgegevens. 

Beveiliging

Om de verwerking van persoonsgegevens te beveiligen is het per 25 mei verplicht om een SSL certificaat op je website te hebben. Dit certificaat zorgt voor een veilige verbinding en het welbekende slotje in je browser. Wij leveren al enkele jaren SSL certificaten gratis mee op onze servers. 

Analytische cookies

Praktisch elke website maakt gebruik van analytische cookies zoals Google Analytics of Hotjar. Wanneer je geen expliciete toestemming vraagt, moet de software privacyvriendelijk ingesteld worden. Hiervoor met de analytics code geupdate worden, en moet er een verwerkersovereenkomst met Google afgesloten worden. 

Meer informatie over het privacy vriendelijk instellen van Google Analytics vind je op de website van de Autoriteit Persoonsgegevens.

Tracking cookies

Onder de nieuwe regelgeving zijn tracking cookies niet meer geaccepteerd zonder expliciete toestemming van de gebruiker. Het gaat hier bijvoorbeeld om tracking pixels van Google Adwords, Facebook, et cetera. Wanneer een website meerdere pixels plaatst, moet er expliciet voor elke pixel toestemming gegeven worden.

De meeste cookiemeldingen zijn nu ‘opt-out’ en dat is niet meer voldoende.Ook impliciete cookiemeldingen zijn niet meer toegestaan onder de AVG. Aangezien het wel heel erg snel onpraktisch wordt, zijn we benieuwd hoe de grote partijen en websites hiermee omgaan.

Dat gaat tot nu toe helemaal niet goed. De NOS schreef op 12 april nog dat zelfs zorgverzekeraars diverse tracking pixels plaatst: "Trackerwoede op zorgsites niet voorbij: surfgedrag nog steeds doorgestuurd"

Saillant detail is dat Frank Watching opmerkt dat de NOS het zelf ook niet al te nauw neemt, depot verwijt de ketel dus dat hij zwart ziet: "Tracking & GDPR: ook de NOS doet het niet netjes"

Meer informatie over het automatisch plaatsen van Facebook Pixels vind je in een blog Arnoud Engelfriet, bekend van ICTRecht: "Natuurlijk is die Facebook tracking pixel hartstikke illegaal onder de AVG (tenzij je toestemming vraagt)"


Wat betekent dit voor mijn organisatie?

Wij zijn zelf uiteraard geen juridische partij, maar kunnen wel adviseren op het informatie gebied. Binnen de automatisering kunnen we de datastromen in kaart brengen en risico's benoemen. Voor het juridische advies hebben we een samenwerking opgezet met Vissers Advocatuur uit Den Bosch. Vanuit die samenwerking kunnen we aan al onze opdrachtgevers een interessant voorstel doen voor het AVG-proof maken van de gehele onderneming.

Mocht je meer informatie willen naar aanleiding van dit artikel, dan kan je contact opnemen met Wouter, onze part-time “Data Protection Officer”! 

Lees ook...